Guillem Alsina Gonzàlez
Hasta dónde yo sé, en ningún país de la Unión Europea existe, a día de hoy, una ley que obligue a las empresas productoras de software a introducir puertas traseras en sus algoritmos de encriptación de las comunicaciones para facilitar el acceso de las fuerzas de seguridad a ellas. Y algunos de los distintos gobiernos de los países miembros, han explicitado de una u otra forma su apoyo a un cifrado fuerte como pilar de la seguridad digital y la protección de derechos fundamentales. Incluso la propia UE ya se ha mostrado con anterioridad –concretamente, en 2020– partidaria de que los ciudadanos puedan disfrutar de servicios de comunicaciones dotados de encriptación.
El artículo 7 de la Carta de Derechos Fundamentales de la UE garantiza, además, el derecho a la privacidad de las comunicaciones, pero con la salvedad de motivos de seguridad nacional o el bienestar económico del país, aunque deja a entender que ello debe hacerse bajo un paraguas legal, lo que implica la intervención judicial.
No obstante, algo ha cambiado, puede que sea en relación con la amenaza que buena parte de la UE ve en Rúsia, o puede que por algunas investigaciones policiales que hayan acabado quedando empantanadas por la imposibilidad de obtener pruebas electrónicas cifradas (se estima que el 85% de las investigaciones judiciales se basan en información digital), de tal forma que en la recientemente presentada estrategia ProtectEU (justo este pasado 1 de abril), destinada a la protección interna de los países miembros de la UE, se contempla el brindar acceso de las autoridades a las comunicaciones encriptadas.
Concretamente, el texto reza que «[…] con el fin de identificar y evaluar soluciones tecnológicas que permitan a las autoridades encargadas de hacer cumplir la ley acceder de forma legal a los datos cifrados, salvaguardando la ciberseguridad y los derechos fundamentales«.
Cabe señalar que, con las actuales disposiciones legales de la UE, las operadoras de telecomunicaciones sí deben posibilitar intervenciones legales (como la interceptación de llamadas), pero en servicios de mensajería y plataformas digitales con cifrado de extremo a extremo no hay obligación legal de proporcionar acceso directo a las autoridades por parte de la empresa creadora del software o que proporciona el servicio.
La hoja de ruta ProtectEU para acceder a datos encriptados
En la práctica, y con el plan ProtectEU, Bruselas se ha propuesto diseñar un nuevo marco jurídico para el acceso a datos cifrados, que deberá presentar a mediados de este mismo año, y que podría permitir a las autoridades acceder a los datos encriptados de las comunicaciones a lo largo de lo que queda de este año o, más probablemente -y con una solución técnica ya en las manos- a lo largo del año que viene. Es decir, primero se establecería la base legal y luego se trabajaría en cómo materializar técnicamente ese acceso excepcional al cifrado.
Las opciones que podría barajar la UE van desde obligar a los proveedores a poder descifrar bajo orden judicial (lo que implicaría incorporar algún tipo de acceso excepcional, comúnmente llamado backdoor o puerta trasera) hasta soluciones más sofisticadas como el escaneo de contenido en el dispositivo del usuario (client-side scanning) sin romper formalmente el cifrado. De hecho, desde la Comisión han indicado a los medios de comunicación que su objetivo es encontrar una vía legal de acceso “sin erosionar la ciberseguridad” ni la privacidad y evitando accesos no autorizados, algo que parece contradictorio en sí mismo.
La hoja de ruta de ProtectEU también entrelaza esta iniciativa con otras reformas previstas: se menciona la revisión de la Ley de Ciberseguridad de la UE y, muy significativamente, la actualización de las normas sobre retención de datos, un tema candente desde que el Tribunal de Justicia de la UE tumbó, en 2014, la directiva de retención de datos por violar la privacidad.
Ahora, la Comisión prepara una evaluación de impacto con miras a reintroducir algún régimen de retención (posiblemente selectiva o “segmentada” para delitos graves), consciente de que más acceso a comunicaciones cifradas sería inútil sin registros de datos que analizar.
En conjunto, 2025 se perfila como el año en que la UE pondrá sobre la mesa reformas legales de gran calado en vigilancia digital, cuyo recorrido legislativo se extenderá probablemente a 2026 y más allá.
El delicado equilibrio entre la seguridad y el derecho a la privacidad
El plan de la Comisión reaviva la histórica tensión entre las demandas de seguridad pública y la protección de derechos fundamentales como la privacidad y la protección de los datos personales y el secreto de las comunicaciones. Las autoridades justifican medidas excepcionales alegando el auge de amenazas como el terrorismo (que se puede comunicar por canales cifrados), pederastas que comparten material ilegal, o crimen organizado coordinado mediante chats seguros.
Es probable que esto nos lleve a una agria polémica a lo largo de las próximas semanas y meses, entre las autoridades y ciertos grupos políticos europeos por un lado, y activistas de los ciberderechos por el otro, pero también hay motivos técnicos que pueden desaconsejar introducir una puerta trasera en los sistemas de cifrado, ya que esta misma podría acabar siendo explotado por un grupo de ciberdelincuentes en provecho propio y contra los intereses de los ciudadanos y, paradójicamente, las autoridades. Luego hablaré de ello.
Tomemos como ejemplo la propuesta del gobierno francés hace un par de meses de introducir nuevas capacidades de vigilancia digital para los cuerpos policiales del país, con el argumento de la guerra contra las drogas, lo cual provocó la intervención del grupo EDRi (European Digital Rights), con protestas por parte de diversos activistas de los derechos digitales.
A nivel de derechos fundamentales, cualquier medida que debilite el cifrado suscita dudas de compatibilidad con la normativa europea. El Reglamento General de Protección de Datos (RGPD) fomenta el uso de cifrado para proteger la información personal, y el derecho a la intimidad en las comunicaciones está consagrado tanto en la Carta de la UE como en las constituciones nacionales. ¿Puede la UE obligar a neutralizar el secreto de las comunicaciones sin violar esos preceptos? Algunos países ya adelantan que no. Finlandia, por ejemplo, respondió en debates internos que romper el cifrado sería inconstitucional según su Ley Fundamental. En España, el artículo 18.3 de la Constitución Española garantiza el secreto de las comunicaciones salvo mandato judicial, lo que chocaría frontalmente con cualquier esquema de vigilancia indiscriminada.
El reto legal para la Comisión será diseñar un acceso puntual, bajo control judicial, y técnicamente limitado a casos específicos –en teoría, acorde al requisito de necesidad y proporcionalidad–, de lo contrario, cualquier norma amplia que vulnere la confidencialidad podría terminar anulada por los tribunales europeos.
El sector tecnológico también debe da su opinión
Con anterioridad, WhatsApp o Signal se han mostrado muy reacios a introducir puertas traseras en sus sistemas de encriptación como, por ejemplo, cuando el gobierno del Reino Unido se lo exigió bajo la nueva ley de seguridad en línea del país, llegando a amenazar con retirarse del país antes que comprometer su cifrado.
Apple también se negó a implementar un sistema de escaneo en sus iPhones propuesto en 2021 tras recibir duras críticas, y más recientemente deshabilitó su función de copia cifrada de iCloud en el Reino Unido cuando las autoridades británicas la presionaron en secreto para acceder a dichos datos, un tema que acabó aireándose a la prensa con el consiguiente revuelo.
Ya que en la mayoría de los casos, la confianza de los usuarios es un activo crítico, es previsible que las compañías tecnológicas adopten una postura similar de resistencia ante la UE si se acaba impulsando este plan en forma de ley que las obligue a debilitar sus medidas de seguridad. Además, las firmas europeas pueden temer que sus clientes (incluidos los corporativos) pierdan confianza en la seguridad de sus productos si saben que incorporan una puerta trasera de serie.
Organizaciones empresariales y expertas en ciberseguridad, como la IEEE, ya se han pronunciado en contra de requerir puertas traseras u otros sistemas de acceso al contenido de las comunicaciones, al considerar que minaría la seguridad por diseño de las soluciones digitales.
¿Y España?
El actual gobierno del país ya se ha declarado con anterioridad partidario de introducir medidas para poder interceptar las comunicaciones encriptadas, por lo que debería ser, en principio, partidario de la iniciativa europea.
Legalmente, habría que adaptar la normativa nacional para articular el acceso a las comunicaciones encriptadas. Probablemente, ello implique cambiar la Ley 25/2007 y la Ley de Enjuiciamiento Criminal, que permiten pinchar teléfonos y obtener datos de telecomunicaciones con autorización judicial, incluyendo en ella la referencia a las comunicaciones encriptadas.
Además, hay que tener en cuenta que dicha reforma legal debería contemplar la obligación a los proveedores de servicios que operen en España, a colaborar entregando datos en texto claro cuando lo ordene un juez, so pena de sanciones.
Una cuestión espinosa será conciliar dicha obligación con el derecho constitucional al secreto de las comunicaciones, el anteriormente mencionado artículo 18.3. Dicho derecho admite la excepción de resolución judicial, lo que en principio avalaría intervenciones selectivas (contra objetivos concretos, con autorización motivada). Pero si la medida se materializa en un sistema más general de monitorización preventiva (escaneo automático), surgiría un conflicto con la Constitución, similar al que ya se debate con la llamada “Ley de evidencias electrónicas” o el propio Reglamento europeo de chat control.
Esto abre la puerta a recursos ante el Tribunal Constitucional si se intentase implantar una vigilancia automatizada de mensajes en busca de delitos. Incluso una medida más limitada (como requerir a un servicio que descifre mensajes de una persona investigada concreta) plantearía retos probatorios y de implementación: ¿cómo garantizar que sólo se accede a lo autorizado por la autoridad judicial y los agentes de la ley no se exceden? ¿Qué mecanismo de auditoría y custodia de esa “llave” de descifrado habría para prevenir abusos o accesos no autorizados?
Operativamente, España tendría que dotar a sus cuerpos policiales y a sus jueces de nuevos protocolos y capacitación. Si existen puertas traseras o claves maestras, habría que gestionar su uso seguro estableciendo unidades especializadas que soliciten a las plataformas el descifrado, manejar la información confidencial obtenida y asegurar que dichas llaves no se filtren. Un backdoor mal resguardado podría ser un tesoro para ciberdelincuentes o, incluso, para redes de espionaje internacionales.
Un debate crucial para el sector empresarial y la ciberseguridad corporativa
También veríamos implicaciones en el ámbito corporativo y empresarial, pues muchas empresas utilizan comunicaciones cifradas (VPN, mensajería corporativa, cifrado de correos y discos) para proteger secretos industriales y datos sensibles. Estas deberán estar atentas a si la nueva normativa podría, de algún modo, requerir acceso a sus datos cifrados empresariales.
En principio, las medidas apuntan a los servicios de comunicación masiva, no al cifrado interno de empresas, aunque si se generaliza la idea de que las autoridades deben tener acceso legal a datos cifrados, de forma genérica, podrían aumentar las órdenes judiciales solicitando a empresas desencriptar información en el marco de investigaciones (por ejemplo, en casos de fraude corporativo, corrupción, etc.), algo que ya ocurre pero podría volverse más frecuente y respaldado en la nueva legislación.
Para los responsables de compras tecnológicas y directivos de TI en empresas, el rumbo de esta iniciativa europea es de máxima relevancia. La confidencialidad de las comunicaciones no sólo es un asunto de privacidad personal, sino un pilar de la seguridad corporativa, puesto que las compañías protegen con cifrado sus comunicaciones internas, datos de clientes, transacciones y propiedad intelectual.
Un entorno legal que obligue a introducir puertas traseras o acceso gubernamental podría debilitar la protección de secretos industriales y datos sensibles, aumentando la superficie de ataque para ciberdelincuentes. Muchos profesionales de TI temen que, si se crean mecanismos especiales de acceso, estos puedan ser descubiertos o filtrados, exponiendo a las empresas a espionaje industrial o ataques por parte de actores estatales.
No es casualidad que grandes multinacionales como Deloitte, Deutsche Bank o Salesforce hayan apoyado públicamente la carta abierta en defensa del cifrado, confiando en que sus comunicaciones permanezcan inviolables. Perder esa certeza podría “enfriar” la adopción de tecnologías en la nube o de herramientas de colaboración online por miedo a brechas.
Además, se plantean desafíos de cumplimiento normativo; las empresas que operan en la UE podrían verse obligadas a revisar sus políticas de cifrado. Por ejemplo, un proveedor de servicios cifrados con sede en Europa tal vez deba implementar nuevos procesos para gestionar solicitudes gubernamentales de datos en claro, lo cual requerirá inversión en infraestructura segura para el manejo de esas peticiones y en protocolos legales internos (similar a cómo hoy existen equipos de respuesta a órdenes judiciales para entregar datos, pero añadiendo la capa de descifrado).
También habrá que coordinar la posible contradicción entre obligaciones de cifrar datos (por seguridad y por GDPR) y una eventual obligación de descifrado: ¿cómo explicarle a un cliente que sus datos están cifrados para proteger su privacidad, pero que existe una llave maestra aunque sólo la use la policía con una orden? La comunicación y la transparencia hacia clientes será delicada para no perder confianza.
Por el lado positivo, un marco legal claro podría dar más certidumbre a empresas que hoy se encuentran entre la espada y la pared cuando reciben una orden judicial que técnicamente no pueden cumplir por el cifrado.
También podría darse el caso de empresas prestadoras de servicios digitales que, de implementarse obligaciones que consideren contrarias a su promesa de seguridad, podrían cesar ciertas funciones o servicios en la región, lo que obliga a los directivos de TI a tener planes de contingencia para poder abandonar dichos servicios cambiándolos por otros si es el caso.
